Ataques DDoS, ¿cómo deben protegerse los ISP?

Hola, mi nombre es Bruno Cerqueira, soy analista de redes aquí en Made4it y hoy voy a explicar sobre los ataques DDoS y algunas formas de proteger su empresa de estos ataques.

En primer lugar, es importante comprender qué significa «Denegación de servicio» y cuáles son las consecuencias de este ataque. Un ataque de «Denegación de servicio» es un intento de hacer que los recursos de un sistema no estén disponibles para sus usuarios. Sus principales objetivos son servidores WEB, Routers, Switches L3, o cualquier equipo con IP pública.

Dos consecuencias más conocidas de los ataques DDoS:

> Consumir todos los recursos del host (como la memoria y la CPU) para que el sistema ya no se pueda utilizar (como un servidor WEB no disponible)

> Utilizar todo el ancho de banda disponible entre los usuarios y el sistema, para que el Host no se comunique correctamente con el usuario.

Ahora que sabe qué es «DoS – Denegación de servicio», necesita saber «DDoS – Denegación de servicio distribuida», que se traduce como Denegación de servicio distribuida, es decir, el ataque proviene de varias fuentes diferentes. DDoS puede ser comandado desde una computadora que envía órdenes a miles de dispositivos infectados, como computadoras, cámaras, sistemas de IPTV, servidores, creando un ejército de máquinas esclavizadas, generando ataques a una o varias IP objetivo. Y estos equipos comprometidos se denominan ‘botnets’, que pueden robar datos, enviar spam y también realizar ataques DDoS. Para comprender mejor qué son los ataques DDoS, acceda a este contenido donde explicamos qué son y los principales motivos de los ataques.

Existen varios tipos de ataques DDoS, siendo los más conocidos:

Ataque Distribuido:

Su característica es un ataque procedente de varios ubicaciones

diferentes, con un destino común, con el fin de consumir todos los recursos del Host de destino o utilizar todo el ancho de banda disponible, para que el Host no obtenga conectividad con otros equipos en Internet. Este tipo de ataque también puede afectar a otros equipos de la empresa, como enrutadores y conmutadores en el camino hacia el host de destino.

Ataque de amplificación:

Como sugiere el nombre, el propósito de este ataque es amplificar la cantidad de tráfico que llegará a una red determinada. Es bastante común en este tipo de ataques que la IP de origen del paquete no coincida con la IP original, lo que se conoce como Spoofing, por lo que el atacante es capaz de enviar miles de solicitudes a un Servidor con una IP de origen falsificada, provocando que el Servidor responder a la solicitud y enviar varias respuestas a un host que no ha realizado ninguna solicitud desde ese servidor. El punto principal de este tipo de ataque es utilizar servidores DNS, NTP, entre otros, que pueden amplificar el tamaño del paquete. Si el origen envía una solicitud con 64 Bytes, el servidor puede responder con 640 Bytes, por ejemplo, amplificando el tamaño del ataque en 10x, haciendo que el ataque sea más eficiente.

Todavía hay varios otros tipos de ataques, algunos que pueden abusar de una vulnerabilidad de un equipo específico, convirtiéndolo en un nuevo equipo para generar un ataque o puede consumir todos los recursos disponibles de ese equipo, de modo que se vuelve inoperante para otros servicios.

Y ahora, ¿qué hacemos para proteger la red de estos ataques DDoS?

Además de las herramientas del atacante, también disponemos de herramientas y medios para proteger al proveedor oa la empresa.

Lo que necesitamos es mitigar el ataque, que consiste en proteger al objetivo de los ataques DDoS. Hay varias formas de hacer la mitigación, entre ellas, hay técnicas de desvío usando enrutamiento.

Los 2 más usados ​​son:

• Enrutamiento BGP: podemos desviar el tráfico a un servicio de mitigación que analizará el tráfico y permitirá que solo pase el tráfico legítimo
• Enrutamiento DNS: Podemos apuntar la IP del servicio de mitigación al servidor DNS en lugar de la IP real. El Servicio de Mitigación escaneará el tráfico y bloqueará el tráfico malicioso, redirigiendo el tráfico legítimo al servidor

Considerando el enrutamiento usando BGP, tenemos algunas opciones que el proveedor o la empresa pueden usar para protegerse de ataques en la capa de red:

• Uso de dispositivo local: detecta y dirige el tráfico a un servidor local para su protección.
  • Ventaja:
    • No requiere la compra de Link Protected o Link Clean Pipe

• Anuncio de IP a través de BGP para Blackhole: ¡hace que una IP sea inutilizable en Internet!
  • Ventaja:
    • No requiere la compra de Link Protected o Link Clean Pipe

• Desventaja:
  • Detendrá toda la navegación y la conectividad a la IP anunciada para Blackhole

• Anuncio de prefijo /24 para enlace de tubería limpia/enlace de mitigación/enlace anti-DDoS/enlace protegido
  • Ventaja:
    • No detendrá la conectividad de ninguna de las IP de la red.

• Desventaja:
  • Dependiendo de la solución adquirida, la latencia puede aumentar

• Uso de enlace 100% protegido
  • Ventaja:
    • No requiere ninguna herramienta para la detección de ataques.

• Desventaja:
  • Mayores costos con el uso de enlace protegido

¿Cómo asegurarse de que su ISP no sea la fuente de un ataque DDoS?

La mayoría de los ataques se realizan por Amplificación, Suplantación de identidad, equipos infectados, entre otros. Una buena práctica es aplicar configuraciones y firewall para evitar que esto suceda dentro de su empresa, como por ejemplo:

• Configure el servidor DNS recursivo, NTP, para responder solo a su red interna
• Filtros anti suplantación de identidad (conocidos como RPF)
• Servicio de bloqueo de cortafuegos puertos hacia clientes residenciales (para casos de ISP)
• Participa en el programa MANRS, para que tu red sea monitoreada desde el exterior
• Seguimiento de vulnerabilidades a través del sitio web de Qrator
• Evita IP públicas en Servidores Locales (con software de gestión de red), y si lo tienes, siempre es necesario mantener el software actualizado y un firewall bien implementado protegiendo los servicios de estos servidores

Y no puedo dejar de mencionar una herramienta que puede detectar ataques y tomar medidas para proteger su red, Made4Flow. Si quieres más información, puedes consultarla aquí.

De todos modos, cualquier red en Internet está sujeta a ataques DDoS, pero es importante mantener siempre buenas prácticas operativas, conocer los tipos de ataques y los medios para protegerse, en caso de que algún día sea víctima de este delito.